Aktualizacje kluczy rejestru dla funkcji bezpiecznego rozruchu: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział IT

Dotyczy
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Uwaga

  • Data publikacji oryginału: 14 października 2025 r.
  • Identyfikator KB: 5068202

Ten artykuł zawiera wskazówki dotyczące następujących tematów:

  • Organizacje z urządzeniami i aktualizacjami zarządzanymi przez dział informatyczny.

Uwaga

  • Dostępność tej pomocy technicznej:

  • Klucze rejestru są zawarte w aktualizacjach wydanych od następującej daty:

  • 11 listopada 2025 r.: W przypadku wersji systemu Windows, które są nadal obsługiwane.

Dziennik zmian
Zmień datę Opis zmiany
20 marcu 2026 r
  • Dodano wartość rejestru AvailableUpdatesPolicy w pierwszej tabeli w sekcji "Klucze rejestru".
  • Zaktualizowano wartość rejestru WindowsUEFICA2023Capable "Opis i użycie" w drugiej tabeli w sekcji "Klucze rejestru".
20 luty 2026 r
  • Do artykułu dodano 3 nowe klucze rejestru — "UEFICA2023ErrorEvent", " BucketHash" & " ConfidenceLevel".
  • Zaktualizowano sekcję "Dostępność tej pomocy technicznej".
4 listopada 2025 r.
  • Do strony dodano jeszcze jeden klucz rejestru.
  • Poprawiono stwierdzenie z "Na przykład, jeśli aktualizacja bazy danych (danych zaufanych podpisów) nie powiodła się z powodu problemu z oprogramowaniem układowym, ten klucz rejestru może wyświetlić kod błędu, który można zamapować na dziennik zdarzeń lub udokumentowany identyfikator błędu w" na następujący tekst: "Na przykład, jeśli aktualizacja bazy danych (bazy danych zaufanych podpisów) nie powiodła się z powodu problemu z oprogramowaniem układowym, Ten klucz rejestru może pokazywać kod błędu z oprogramowania układowego. Gdy ten klucz istnieje i ma wartość różną od zera, zalecamy wyszukanie zdarzeń bezpiecznego rozruchu w dziennikach zdarzeń systemu Windows — zobacz (link), aby uzyskać więcej informacji".
  • Poniżej dodano dwie oddzielne ścieżki do kluczy rejestru
11 listopada 2025 r.
  • Zaktualizowano akapit w sekcji Testowanie urządzeń przy użyciu kluczy rejestru o dodatkowe informacje: "Klucz rejestru powinien szybko zmienić się na 0x4100. Ponowne uruchomienie i ponowne uruchomienie zadania spowoduje zaktualizowanie menedżera rozruchu i 0x0100 AvailableUpdates. Zobacz Rozwiązywanie problemów, aby uzyskać więcej szczegółowych informacji na temat zachowania AvailableUpdates."
  • Zaktualizuj tekst w szarym polu w obszarze Testowanie urządzeń za pomocą kluczy rejestru , aby uzyskać dwa dodatkowe polecenia programu PowerShell
  • W obszarze kluczy rejestru wartość rejestru -MicrosoftUpdateManagedOptIn została zmieniona z "1 — Opt-in" na "1 lub dowolna wartość różna od zera – Opt in"
16 listopada 2025 r. Zaktualizowano zawartość w sekcji "Testowanie urządzenia przy użyciu kluczy rejestru". Wartość dostępnej aktualizacji została zmieniona z "0x0100" na "0x4000".

W tym artykule

Wprowadzenie

W tym dokumencie opisano obsługę wdrażania aktualizacji certyfikatów bezpiecznego rozruchu, zarządzania nimi i monitorowania ich przy użyciu kluczy rejestru systemu Windows. Klucze składają się z następujących elementów:

  • Jeden klucz do uruchamiania wdrażania certyfikatów i menedżera rozruchu na urządzeniu.
  • Dwa klucze monitorowania stanu wdrożenia.
  • Dwa klawisze do zarządzania ustawieniami zgody/rezygnacji dla dwóch dostępnych asystentów wdrażania.

Te klucze rejestru można ustawić ręcznie na urządzeniu lub zdalnie za pomocą dostępnego oprogramowania do zarządzania flotą. Inne metody wdrażania, takie jak zasady grupy, usługa Microsoft Intune i WinCS, zostały opisane w artykule Urządzenia z systemem Windows dla firm i organizacji z aktualizacjami zarządzanymi przez dział IT.

Klucze rejestru bezpiecznego rozruchu

W tej sekcji

Klucze rejestru

Wszystkie klucze rejestru bezpiecznego rozruchu opisane poniżej znajdują się w tej ścieżce rejestru:

Uwaga

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Poniższa tabela zawiera opis poszczególnych wartości rejestru:

Wartość rejestru Type (Typ) Opis i sposób użycia
Dostępne aktualizacje REG_DWORD (maska bitowa) Zaktualizowano flagi wyzwalacza.

Określa, które akcje aktualizacji bezpiecznego rozruchu mają być wykonywane na urządzeniu. Ustawienie odpowiedniego pola bitowego w tym miejscu inicjuje wdrażanie nowych certyfikatów bezpiecznego rozruchu i powiązanych aktualizacji. W przypadku wdrożenia dla przedsiębiorstw należy ustawić wartość 0x5944 (szesnastkowy) — wartość, która włącza wszystkie odpowiednie aktualizacje (dodanie nowych certyfikatów CA 2023, zaktualizowanie klucza KEK i zainstalowanie nowego menedżera rozruchu).

Ustawienia:
  • 0 lub nie ustawiono — nie są wykonywane żadne aktualizacje klucza bezpiecznego rozruchu.
  • 0x5944 – Wdróż wszystkie wymagane certyfikaty i zaktualizuj menedżera rozruchu podpisanego przez PCA2023
HighConfidenceOptOut REG_DWORD Opcja rezygnacji.

Dla przedsiębiorstw, które chcą zrezygnować z zasobników o wysokim poziomie zaufania, które zostaną automatycznie zastosowane w ramach LCU.

Możesz ustawić w tym kluczu wartość różną od zera, aby zrezygnować z zasobników o wysokim poziomie ufności.

Ustawienia
  • 0 lub klucz nie istnieje – Zarejestruj się
  • 1 – Rezygnacja
MicrosoftUpdateManagedOptIn REG_DWORD Opcja zgody.

Dla przedsiębiorstw, które chcą zdecydować się na obsługę kontrolowanego wdrażania funkcji (Controlled Feature Rollout, CFR), znaną również jako zarządzana przez firmę Microsoft.

Oprócz ustawienia tego klucza zezwól na wysyłanie wymaganych danych diagnostycznych (zobacz Konfigurowanie danych diagnostycznych systemu Windows w organizacji).

Ustawienia
  • 0 lub klucz nie istnieje – Rezygnacja
  • 1 lub dowolną wartość różną od zera — Opt in
DostępneAktualizacjePolityki REG_DWORD (maska bitowa) Tylko w celach informacyjnych — nie należy aktualizować tego klucza za pośrednictwem rejestru.

Ten klucz jest używany przez zasady grupy i usługę Intune do przekazywania akcji związanych z bezpiecznym rozruchem do systemu Windows. Reprezentuje zasady ustawione przez usługę Intune lub zasady grupy.

Wszystkie klucze rejestru bezpiecznego rozruchu opisane poniżej znajdują się w tej ścieżce rejestru:

Uwaga

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Poniższa tabela zawiera opis poszczególnych wartości rejestru:

Wartość rejestru Type (Typ) Opis i sposób użycia
UEFICA2023Status REG_SZ (string) Wskaźnik stanu wdrożenia.

Odzwierciedla bieżący stan aktualizacji klucza bezpiecznego rozruchu na urządzeniu. Zostanie ustawiona na jedną z następujących wartości tekstowych:

  • NotStarted: aktualizacja nie została jeszcze uruchomiona.
  • W toku: Aktualizacja jest w toku.
  • Zaktualizowano: Aktualizacja zakończyła się pomyślnie.
Początkowo stan to NotStarted. Po rozpoczęciu aktualizacji zmienia się na InProgress , a na koniec na Updated po wdrożeniu wszystkich nowych kluczy i nowego menedżera rozruchu. Jeśli wystąpi błąd, wartość rejestru UEFICA2023Error jest ustawiona na kod inny niż zero.
UEFICA2023Błąd REG_DWORD (kod) Kod błędu (jeśli istnieje).
W przypadku powodzenia ta wartość pozostaje równa 0 . Jeśli proces aktualizacji napotka błąd, UEFICA2023Error jest ustawiany na niezerowy kod błędu odpowiadający pierwszemu napotkanemu błędowi. Ten błąd oznacza, że aktualizacja bezpiecznego rozruchu nie powiodła się w pełni i może wymagać zbadania lub skorygowania na tym urządzeniu.
Jeśli na przykład aktualizacja bazy danych zaufanych podpisów nie powiodła się ze względu na problem z oprogramowaniem układowym, ten klucz rejestru może pokazywać kod błędu z oprogramowania układowego. Gdy ten klucz istnieje i ma wartość różną od zera, zalecamy wyszukiwanie zdarzeń bezpiecznego rozruchu w dziennikach zdarzeń systemu Windows — zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu , aby uzyskać więcej informacji.
UEFICA2023ErrorEvent REG_DWORD (kod) UEFICA2023ErrorEvent określa identyfikator zdarzenia, którego system Windows użył do zgłoszenia błędu związanego z aplikacją aktualizacji bezpiecznego rozruchu interfejsu UEFI systemu Windows 2023. Ta wartość jest skorelowana z kluczem rejestru UEFICA2023Error i jest wypełniana po ustawieniu klucza, co wskazuje, że system Windows napotkał błąd podczas próby zastosowania aktualizacji bezpiecznego rozruchu. W takim przypadku system Windows rejestruje odpowiednie zdarzenie bezpiecznego rozruchu, udokumentowane na stronie publicznej Zdarzenia aktualizacji zmiennych DB i DBX, co zapewnia dodatkowe informacje o tym, dlaczego aktualizacja nie mogła zostać ukończona i jakie czynności mogły być wymagane.
WindowsUEFICA2023Capable REG_DWORD (kod) Tylko w celach informacyjnych — nie używaj tego klucza podczas uzyskiwania stanu aktualizacji bezpiecznego rozruchu. Zamiast tego użyj klucza UEFICA2023Status.
Ten klucz rejestru jest przeznaczony dla scenariuszy ograniczonego wdrażania i nie jest zalecany do użytku ogólnego.
Prawidłowe wartości:
0 – lub klucz nie istnieje - certyfikat "Windows UEFI CA 2023" nie znajduje się w bazie danych
1 - Certyfikat "Windows UEFI CA 2023" znajduje się w bazie danych
2 - Certyfikat "Windows UEFI CA 2023" znajduje się w bazie danych, a system uruchamia się z podpisanego menedżera rozruchu 2023
BucketHash (Skrót wiaderka) REG_SZ (string) BucketHash identyfikuje zasobnik wdrożenia, do którego jest przypisane urządzenie w ramach wdrożenia certyfikatu bezpiecznego rozruchu. Wartość jest skrótem pochodzącym z charakterystyki urządzenia i służy do grupowania urządzeń o podobnych atrybutach oprogramowania układowego i platformy na potrzeby wdrażania etapowego i zarządzania ryzykiem. Jest to ten sam skrót zasobnika, który pojawia się w zdarzeniach specyficznych dla urządzenia udokumentowanych na stronie zdarzeń aktualizacji zmiennych DBX i bezpiecznego rozruchu , umożliwiając administratorom skorelowanie stanu rejestru z wpisami dziennika zdarzeń i zrozumienie, w jaki sposób urządzenie jest celem podczas procesu aktualizacji bezpiecznego rozruchu.
Poziom ufności REG_SZ (string) ConfidenceLevel wskazuje ocenę ufności skojarzoną z zasobnikiem wdrożenia bezpiecznego rozruchu urządzenia. Ta wartość odpowiada wartości BucketConfidenceLevel przypisywanej przez system Windows do urządzenia na podstawie zaobserwowanego zachowania aktualizacji w podobnych konfiguracjach sprzętu i oprogramowania układowego. Ten sam poziom ufności występuje w przypadku zdarzeń specyficznych dla urządzenia udokumentowanych na stronie zdarzeń aktualizacji zmiennych DBX i bezpiecznego rozruchu , co pozwala administratorom na skorelowanie wartości rejestru z wpisami dziennika zdarzeń. Aby uzyskać więcej informacji na temat możliwych wartości tego klucza, zobacz opisy zdarzeń w dzienniku zdarzeń urządzenia.

Jak te klucze współpracują ze sobą

Administratorzy IT konfigurują wartość rejestru AvailableUpdates na 0x5944, co sygnalizuje systemowi Windows wykonanie aktualizacji i instalacji klucza bezpiecznego rozruchu na urządzeniu.

W trakcie procesu system aktualizuje stan UEFICA2023 z NotStarted do InProgress, a na koniec do Updated po powiedzeniu. Po pomyślnym przetworzeniu każdego bitu 0x5944 jest on czyszczony.

Jeśli którykolwiek krok zakończy się niepowodzeniem, kod błędu zostanie zarejestrowany w UEFICA2023Error (a stan pozostaje w toku).

Ten mechanizm zapewnia administratorom jasny sposób wyzwalania i śledzenia wdrożenia dla każdego urządzenia.

Wdrażanie przy użyciu kluczy rejestru

Wdrożenie na grupie urządzeń składa się z następujących kroków:

  1. Ustaw wartość rejestru AvailableUpdates na 0x5944 na każdym urządzeniu, które chcesz zaktualizować.
  2. Monitoruj klucze rejestru UEFICA2023Status i UEFICA2023Error, aby zobaczyć, czy urządzenia robią postępy. Zadanie, które przetwarza te aktualizacje, jest uruchamiane co 12 godzin. Pamiętaj, że aktualizacja menedżera rozruchu może nastąpić dopiero po ponownym uruchomieniu.
  3. Zbadaj problemy, jeśli wystąpią. Jeśli UEFICA2023Error ma wartość różną od zera na urządzeniu, możesz sprawdzić dziennik zdarzeń pod kątem zdarzeń związanych z tym problemem. Zobacz Zdarzenia aktualizacji zmiennych bezpiecznego rozruchu i DBX , aby uzyskać pełną listę zdarzeń bezpiecznego rozruchu.

Uwaga dotycząca ponownych uruchomień: Do zakończenia procesu może być wymagane ponowne uruchomienie, ale zainicjowanie wdrażania aktualizacji bezpiecznego rozruchu nie spowoduje ponownego uruchomienia. Jeśli wymagane jest ponowne uruchomienie, wdrożenie bezpiecznego rozruchu polega na ponownym uruchomieniu w normalnym trybie korzystania z urządzenia.

Testowanie urządzenia przy użyciu kluczy rejestru

Podczas testowania poszczególnych urządzeń w celu zapewnienia, że urządzenia będą poprawnie przetwarzać aktualizacje, klucze rejestru mogą być prostym sposobem testowania.

Aby przetestować ten system, uruchom każde z poniższych poleceń oddzielnie w wierszu polecenia administratora programu PowerShell:

Uwaga

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Ręcznie uruchom ponownie system, gdy wartość AvailableUpdates stanie się 0x4100
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Pierwsze polecenie inicjuje wdrożenie certyfikatu i menedżera rozruchu na urządzeniu. Drugie polecenie powoduje natychmiastowe uruchomienie zadania, które przetwarza klucz rejestru AvailableUpdates . Zwykle zadanie jest uruchamiane co 12 godzin. Klucz rejestru powinien szybko zmienić się na 0x4100. Ponowne uruchomienie i ponowne uruchomienie zadania spowoduje zaktualizowanie menedżera rozruchu i 0x4000 AvailableUpdates. Zobacz Rozwiązywanie problemów, aby uzyskać więcej informacji na temat zachowania AvailableUpdates.

Wyniki można znaleźć, obserwując klucze rejestru UEFICA2023Status i UEFICA2023Error oraz dzienniki zdarzeń zgodnie z opisem w zdarzeniach aktualizacji zmiennej DB bezpiecznego rozruchu.

Włączanie i wyłączanie asyst

Klucze rejestru HighConfidenceOptOut i MicrosoftUpdateManagedOptIn mogą służyć do zarządzania dwoma "asystami" wdrażania opisanymi na urządzeniach z systemem Windows z aktualizacjami zarządzanymi przez dział IT.

  • Klucz rejestru HighConfidenceOptOut steruje automatycznymi aktualizacjami urządzeń za pośrednictwem aktualizacji zbiorczych. W przypadku urządzeń, na których firma Microsoft zaobserwowała pomyślną aktualizację określonych urządzeń, będą one uznawane za urządzenia o "wysokim poziomie zaufania", a aktualizacje certyfikatu bezpiecznego rozruchu będą następować automatycznie. Ustawieniem domyślnym jest opcja wybierania.
  • Klucz rejestru MicrosoftUpdateManagedOptIn umożliwia działom IT wyrażenie zgody na wdrażanie automatyczne zarządzane przez firmę Microsoft. To ustawienie jest domyślnie wyłączone i otrzymuje wartość 1 zgody. To ustawienie wymaga również, aby urządzenie wysyłało opcjonalne dane diagnostyczne.

Obsługiwane wersje systemu Windows

W poniższej tabeli przedstawiono obsługę w oparciu o klucz rejestru.

Klawisz Obsługiwane wersje systemu Windows
Dostępne aktualizacje
UEFICA2023Status
UEFICA2023Błąd
Wszystkie wersje systemu Windows obsługujące bezpieczny rozruch (Windows Server 2012 i nowsze wersje systemu Windows).

Uwaga: Chociaż dane dotyczące pewności są zbierane w systemie Windows 10, wersjach LTSC, 22H2 i nowszych wersjach systemu Windows, można je stosować do urządzeń z wcześniejszymi wersjami systemu Windows.
  • Windows 10, wersje LTSC i 22H2
  • Windows 11, wersje 22H2 i 23H2
  • Windows 11 w wersji 24H2
  • Windows Server 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Zdarzenia błędów bezpiecznego rozruchu

Zdarzenia błędów mają krytyczną funkcję raportowania, aby informować o stanie bezpiecznego rozruchu i postępie.  Aby uzyskać informacje o zdarzeniach błędów, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX. Zdarzenia błędów są aktualizowane przy użyciu dodatkowych informacji o zdarzeniach bezpiecznego rozruchu.